1、 計算機網(wǎng)絡(luò)安全中的防火墻技術(shù)類型功能及其應(yīng)用分析1 防火墻技術(shù)概念、類型及基本功能1.1 防火墻技術(shù)概念從字面意思來看, 防火墻技術(shù)就是在計算機網(wǎng)絡(luò)與防火墻之間構(gòu)筑一面墻, 起到保護效果。防火墻技術(shù)將系統(tǒng)中的硬軟件結(jié)合起來, 完成對不良信息的過濾與篩選工作, 一旦篩選出不良信息, 防火墻便會及時進行攔截, 從而保護計算機網(wǎng)絡(luò)安全。目前, 計算機防火墻技術(shù)較為完善, 最為常見的有監(jiān)測型、過濾型、代理型3種防火墻。計算機防火墻技術(shù)在計算機系統(tǒng)維護中有著非常重要的作用, 是當前計算機網(wǎng)絡(luò)領(lǐng)域研究的重要方向, 怎樣不斷地提高計算機網(wǎng)絡(luò)安全技術(shù), 構(gòu)建系統(tǒng)可靠的防火墻網(wǎng)絡(luò)是計算機領(lǐng)域需要研究的關(guān)鍵內(nèi)容

2、1。1.2 類型防火墻是保護網(wǎng)絡(luò)安全的有效手段, 當然, 它也有很多類型, 既能夠存在于硬件部分, 也能在獨立機器中運行, 該機制就變成了防火墻所在網(wǎng)絡(luò)的代理。為了有效實現(xiàn)安全防護的目標, 就必須要讓內(nèi)外部網(wǎng)絡(luò)中全部數(shù)據(jù)都經(jīng)過防火墻進入, 同時, 只有和防火墻規(guī)則具有一致性的數(shù)據(jù)流才能經(jīng)過防火墻, 并且防火墻自身也必須要具備很強的抗攻擊與免疫力。防火墻可以連接因特網(wǎng), 也可以將其應(yīng)用在組織網(wǎng)內(nèi)部重要數(shù)據(jù)信息的保護過程中, 因此, 可以將防火墻分成網(wǎng)絡(luò)層防火墻與應(yīng)用層防火墻兩種類型2。1.3 基本功能1.3.1 動態(tài)包過濾技術(shù)動態(tài)包過技術(shù)實際上也可以稱作狀態(tài)檢測技術(shù), 可以快速截獲經(jīng)過經(jīng)過防火墻

3、的數(shù)據(jù)包, 提取相關(guān)信息, 并結(jié)合信息的安全程度看是否允許信息經(jīng)過, 能夠達到動態(tài)網(wǎng)絡(luò)監(jiān)控的效果。防火墻能夠動態(tài)管理經(jīng)過端口的信息, 前提是要連接3。1.3.2 控制不安全服務(wù)防火墻能夠控制不完全服務(wù), 提前將信任域和不信任域間數(shù)據(jù)出入情況設(shè)置好, 從而避免不安全服務(wù)的進入, 確保內(nèi)部網(wǎng)的運行安全。1.3.3 集中安全保護防火墻能夠?qū)?nèi)部要防護的軟件全部集中起來, 還包含全部要改動及附加的軟件, 如身份認證、電子口令等。這類安全問題都能由防火墻集中管理, 且操作起來非常簡單。1.3.4 加強網(wǎng)絡(luò)系統(tǒng)訪問控制防火墻能夠設(shè)置外部網(wǎng)對內(nèi)部網(wǎng)訪問服務(wù), 并加強訪問控制, 如涉及到重大網(wǎng)絡(luò)安全服務(wù)能夠屏

4、蔽外部網(wǎng), 使其無法訪問;針對那些涉及較小網(wǎng)絡(luò)安全服務(wù), 可以對外部網(wǎng)進行訪問4。2 防火墻技術(shù)2.1 過濾技術(shù)防火墻技術(shù)在特定位置提供過濾服務(wù), 如在網(wǎng)絡(luò)系統(tǒng)TCP位置, 防火墻先對TCP位置接收到的數(shù)據(jù)包的安全性進行檢查, 一旦發(fā)現(xiàn)存在安全隱患, 就不允許數(shù)據(jù)包傳輸。同時, 將過濾技術(shù)應(yīng)用到外網(wǎng)環(huán)境中, 其預防特征特別明顯, 有效防止不良信息的傳輸, 從而保證TCP區(qū)域運行安全。過濾技術(shù)的應(yīng)用不僅能夠?qū)崿F(xiàn)對計算機網(wǎng)絡(luò)安全控制, 而且在路由器方面應(yīng)用價值非常明顯。2.2 協(xié)議技術(shù)該種技術(shù)主要是用來防止Dos攻擊, 若Dos攻擊就會使整個計算機系統(tǒng)陷入癱瘓, 系統(tǒng)難以有效運行, 該類攻擊并未進

5、行明確限制。防火墻使用協(xié)議技術(shù), 在Dos攻擊中對計算機內(nèi)部網(wǎng)絡(luò)進行保護, 并提供相關(guān)網(wǎng)關(guān)服務(wù), 得到防火墻的回應(yīng), 服務(wù)器才能有效運行。2.3 檢測技術(shù)檢測技術(shù)主要是對計算機網(wǎng)絡(luò)運行狀態(tài)進行檢測, 外網(wǎng)傳輸?shù)臄?shù)據(jù)包當成整體, 對數(shù)據(jù)包狀態(tài)內(nèi)容進行準確分析, 并將分析結(jié)果進行匯總, 生成記錄表, 分成規(guī)則、狀態(tài)兩個記錄表, 對兩表的數(shù)據(jù)信息進行分析, 判斷數(shù)據(jù)狀態(tài)。目前, 檢測技術(shù)在各層網(wǎng)絡(luò)間運用的非常普遍, 能夠準確地獲取網(wǎng)絡(luò)連接狀態(tài), 擴寬網(wǎng)絡(luò)安全防護范圍, 從而保證計算機網(wǎng)絡(luò)系統(tǒng)運行的安全性5。3 計算機網(wǎng)絡(luò)安全中防火墻技術(shù)的應(yīng)用隨著計算機網(wǎng)絡(luò)技術(shù)的廣泛運用, 其各種安全問題也逐漸顯現(xiàn)出

6、來, 采取有效措施保護計算機網(wǎng)絡(luò)網(wǎng)絡(luò)安全是目前需要解決的重點問題, 下面對計算機網(wǎng)絡(luò)安全中防火墻技術(shù)的應(yīng)用相關(guān)內(nèi)容進行了分析。3.1 包過濾防火墻該種防火墻通常只應(yīng)用在OSI 7層模型中網(wǎng)絡(luò)層數(shù)據(jù)?？梢酝瓿煞阑饓顟B(tài)的檢測, 預先將邏輯策略確定好, 主要包括端口、地址及源地址等, 所有經(jīng)過防火墻的數(shù)據(jù)都必須要分析, 若數(shù)據(jù)包中的信息與策略中的要求不符, 則數(shù)據(jù)包能夠通過, 若完全相符, 則數(shù)據(jù)包就會被攔截。數(shù)據(jù)包在傳輸過程中都會被分解成很多個由目的、地質(zhì)等構(gòu)成的小數(shù)據(jù)包, 在經(jīng)過防火墻時, 它們可以通過各種傳輸路徑傳輸過去, 但最后會在同一個地方會合。在目的地點, 數(shù)據(jù)包還是要接受防火墻檢測,

7、 合格之后, 才能通過。一旦在傳輸時, 數(shù)據(jù)包丟失或者是地址發(fā)生變化等都會被丟棄。但是, 該技術(shù)在應(yīng)用的過程中也有一些缺點, 如:部分包過濾網(wǎng)關(guān)對有效的用戶認證并不支持;規(guī)則表變化快, 規(guī)則難以測試, 隨著規(guī)則表的結(jié)構(gòu)與復雜性的增大, 規(guī)則結(jié)構(gòu)的漏洞也會隨之增多;該種防火墻是由一個獨立的部件來保護, 一旦該部件出現(xiàn)問題, 就會危害整個網(wǎng)絡(luò)系統(tǒng);通常情況下, 包過濾防火墻智能對一種類型的IP威脅進行阻止, 也就是外部主機偽裝內(nèi)部主機的IP6。3.2 深層檢測防火墻深層檢測防火墻是計算機防火墻技術(shù)發(fā)展的主要方向, 該技術(shù)先完成對網(wǎng)絡(luò)信息的檢測, 再對流量走向進行實時跟蹤, 并繼續(xù)完成檢測任務(wù)。該種

8、防火墻技術(shù)的保護作用, 并不只是停留于網(wǎng)絡(luò)層面, 而是有效防護應(yīng)用層網(wǎng)絡(luò)攻擊, 安全性能強。3.3 應(yīng)用網(wǎng)關(guān)防火墻該種防火墻也可以稱為代理防火墻, 其主要應(yīng)用在OSI的網(wǎng)絡(luò)層及傳輸層。這種防火墻技術(shù)與包過濾防火墻存在一定的差異, 即認證的是個人, 并非相關(guān)設(shè)備, 只有當個人驗證成功之后, 才能對網(wǎng)絡(luò)資源進行有效訪問, 認證主要包含的內(nèi)容有密碼、用戶名等。通過應(yīng)用網(wǎng)關(guān)防火墻, 就能有效防止黑客的攻擊。同時, 應(yīng)用網(wǎng)關(guān)防火墻又可以分成直通與連接網(wǎng)關(guān)防火墻兩種, 其中連接網(wǎng)關(guān)防火墻一般屬于認證機制, 能夠以截獲數(shù)據(jù)流量的方式來認證, 認證完成后, 連接網(wǎng)關(guān)防火墻才能開始訪問。另外, 該種防火墻還能有

9、效保護應(yīng)用層, 使應(yīng)用層運行更加安全, 而直通式并不能實現(xiàn)這一目標。但是, 應(yīng)用網(wǎng)關(guān)防火墻也有自身的不足之處:利用相關(guān)軟件來處理數(shù)據(jù)包, 支持的應(yīng)用非常少, 有時必須要制定客戶端軟件。3.4 分布防火墻該種防火墻主要是由安全策略及客戶端服務(wù)器組成, 客戶端防火墻主要工作于各個服務(wù)器、工作站上, 依據(jù)安全策略文件中的相關(guān)內(nèi)容, 依賴包過濾等幾層安全檢測, 確保計算機在正常運用的情況下不會受到網(wǎng)絡(luò)黑客的攻擊, 確保網(wǎng)絡(luò)運行安全。而安全策略管理服務(wù)器主要是服務(wù)安全策略、用戶等的管理。該服務(wù)器是集中管理控制中心, 統(tǒng)一制定和分發(fā)安全策略, 負責管理系統(tǒng), 因而, 其是集中控制管理中心, 減少了終端運用

10、的工作負擔。分布防火墻主要應(yīng)用于企業(yè)或者是單位局域網(wǎng)內(nèi)部, 其安全運行必須要依賴于一些安全防護軟件, 主要包含網(wǎng)絡(luò)與主機防火墻兩種, 其中網(wǎng)絡(luò)防火墻主要應(yīng)用于內(nèi)外部網(wǎng)之間, 主機防火墻應(yīng)用于局域網(wǎng)內(nèi)部。該種防火墻主要是對內(nèi)部缺陷進行防護, 有效防止外部攻擊, 從而確保局域網(wǎng)運行安全。4 結(jié)語網(wǎng)絡(luò)信息技術(shù)的普及與運用, 給人們的生p2秦素梅, 龔艷春, 張淑敏, 等.淺析防火墻技術(shù)在計算機網(wǎng)絡(luò)安全方面的具體應(yīng)用J.網(wǎng)絡(luò)安全技術(shù)與實際應(yīng)用, 2015, (16) :208-216.3徐東純, 周艷萍, 王馨悅, 等.基于CC2530的環(huán)境監(jiān)測無線傳感器網(wǎng)絡(luò)節(jié)點設(shè)計J.計算機應(yīng)用, 2016, (20) :325-329.4江科, 周立軍.淺議防火墻技術(shù)在計算機網(wǎng)絡(luò)信息安全中的應(yīng)用及研究J.計算機光盤軟件與應(yīng)用